lunes, junio 01, 2015

Google Chrome: 39 versiones y 5 años después el "issue" de seguridad sigue vivo

Han pasado ya 5 años desde que publiqué el artículo en el que se habla del fallo de seguridad en Google Chrome que permite saltarse la política de bloqueo de JavaScript usando algo tan fácil como un iframe. Hoy toca hacer un poco de resumen de cómo ha evolucionado.

Figura 1: Google Chrome: 39 versiones y 5 años después el "issue" de seguridad sigue vivo

Año 2010: No es un bug y no se arreglará

El reporte que se hizo al proyecto Chromium obtuvo el id de bug 44985 - con el título "Make content settings restrictions apply to resources (as well as the top frame)" y se discutió durante tiempo. Cuando se hizo el reporte al proyecto era la versión de Google Chrome 4 y corría el año 2010 y como podéis ver en la imagen siguiente se marcó inicialmente como "Wont Fix".

Figura 2: Bug id 44985 Mayo de 2010. Estado "Wont Fix"

Año 2014: Es una feature pero afecta a cosas y lo arreglaremos en algún momento

El año pasado, cuando ya estábamos en la versión Google Chrome 36, el bug se unificó bajo el id 444744, con el título del bug "Content Settings iframe behavior may not be expected". Como ya os puse en el artículo, el bug se consideraba una feature que afectaba al interfaz de usuario, a la privacidad, y al User eXperience, pero no mucho más.

Figura 3: Bug 44985 en Agosto de 2014

Año 2015: Es un bug, que afecta a la seguridad, y lo arreglaremos

Este fin de semana el expediente del bug ha sido re-calificado para definirlo como bug, y ahora se define como un bug que afecta a la Seguridad, además de que la prioridad ha pasado de 3 a 2, por lo que parece que tiene más posibilidades de ser tratado. Estamos en la versión Google Chrome 43, en el año 2015.

Figura 4: Bug 44985 en Junio de 2015

El "issue" en sí

Lo cierto es que a día de hoy, el fallo sigue existiendo, y se puede saltar el filtrado de una ejecución de un dominio con meter la llamada en un iframe.

Figura 5: En la versión Google Chrome 43 sigue están activo

Es decir, 5 años y 39 versiones después, el issue de seguridad sigue estando vivo y a la espera de ser corregido. Os avisaré en cuanto esté corregido. Mientras tanto, no confiéis en esta característica como una medida de seguridad.

Saludos Malignos!

5 comentarios:

Anónimo dijo...

Normal, este issue lo tenian que utilizar agencias gubernamentales para sus tareas de espionaje, ahora que todo mundo está encima de Google y de dichas agencias, ya lo consideran y lo van a corregir

Anónimo dijo...

CHEMA: con plugins que blokean el javascrip,se mitiga el bug?

Elias Jaime dijo...

Lo peor es que ahora que "se dieron cuenta" que afecta a la seguridad sigue sin parchearse aun.

Anónimo dijo...

@EliasJaime
Pero ya va, deja la prisa, que la NaSA aún no ha terminado de darle uso.

Anónimo dijo...

@EliasJaime
Pero ya va, deja la prisa, que la NsSA aún no ha terminado de darle uso.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares